ISO/IEC 24760-3:2016
(Main)Information technology — Security techniques — A framework for identity management — Part 3: Practice
Information technology — Security techniques — A framework for identity management — Part 3: Practice
ISO/IEC 24760-3:2016 provides guidance for the management of identity information and for ensuring that an identity management system conforms to ISO/IEC 24760-1 and ISO/IEC 24760-2. ISO/IEC 24760-3:2016 is applicable to an identity management system where identifiers or PII relating to entities are acquired, processed, stored, transferred or used for the purposes of identifying or authenticating entities and/or for the purpose of decision making using attributes of entities. Practices for identity management can also be addressed in other standards.
Technologies de l'information — Techniques de sécurité — Cadre pour la gestion de l'identité — Partie 3: Mise en oeuvre
La présente partie de l'ISO/IEC 24760 fournit des recommandations pour la gestion des informations d'identité et pour s'assurer qu'un système de gestion de l'identité est conforme à l'ISO/IEC 24760-1 et à l'ISO/IEC 24760-2. La présente partie de l'ISO/IEC 24760 est applicable à un système de gestion de l'identité dans lequel des identificateurs ou des DCP relatifs à des entités sont acquis, traités, stockés, transférés ou utilisés à des fins d'identification ou d'authentification d'entités et/ou à des fins de prise de décision à l'aide d'attributs d'entités. Les pratiques relatives à la gestion de l'identité peuvent également être traitées dans d'autres normes.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 24760-3
First edition
2016-08-01
Information technology — Security
techniques — A framework for
identity management —
Part 3:
Practice
Technologies de l’information — Techniques de sécurité — Cadre
pour la gestion de l’identité —
Partie 3: Mise en oeuvre
Reference number
©
ISO/IEC 2016
© ISO/IEC 2016, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2016 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Symbols and abbreviated terms . 2
5 Mitigating identity related risk in managing identity information . 2
5.1 Overview . 2
5.2 Risk assessment . 2
5.3 Assurance in identity information . 3
5.3.1 General. 3
5.3.2 Identity proofing . 3
5.3.3 Credentials . 3
5.3.4 Identity profile . 3
6 Identity information and identifiers . 4
6.1 Overview . 4
6.2 Policy on accessing identity information . 4
6.3 Identifiers . 4
6.3.1 General. 4
6.3.2 Categorization of identifier by the type of entity to which the identifier is linked 4
6.3.3 Categorization of identifier by the nature of linking . 5
6.3.4 Categorization of identifier by the grouping of entities . 6
6.3.5 Management of identifiers . 6
7 Auditing identity information usage . 6
8 Control objectives and controls . 6
8.1 General . 6
8.2 Contextual components for control . 7
8.2.1 Establishing an identity management system . 7
8.2.2 Establishing identity information . 9
8.2.3 Managing identity information .10
8.3 Architectural components for control .11
8.3.1 Establishing an identity management system .11
8.3.2 Controlling an identity management system .13
Annex A (normative) Practice of managing identity information in a federation of identity
management systems .15
Annex B (normative) Identity management practice using attribute-based credentials to
enhance privacy protection .24
Bibliography .31
© ISO/IEC 2016 – All rights reserved iii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical
Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/IEC JTC 1, Information technology, SC 27, IT Security
techniques.
ISO/IEC 24760 consists of the following parts, under the general title Information technology — Security
techniques — A framework for identity management
— Part 1: Terminology and concepts
— Part 2: Reference architecture and requirements
— Part 3: Practice
iv © ISO/IEC 2016 – All rights reserved
Introduction
Data processing systems commonly gather a range of information on their users, be it a person, piece of
equipment, or piece of software connected to it and make decisions based on the gathered information.
Such identity-based decisions may concern access to applications or other resources.
To address the need to efficiently and effectively implement systems that make identity-based decisions,
ISO/IEC 24760 specifies a framework for the issuance, administration, and use of data that serves to
characterize individuals, organizations or information technology components, which operate on
behalf of individuals or organizations.
For many organizations, the proper management of identity information is crucial to maintain security
of the organizational processes. For individuals, correct identity management is important to protect
privacy.
This part of ISO/IEC 24760 specifies fundamental concepts and operational structures of identity
management with the purpose to realize information system management, so that information systems
can meet business, contractual, regulatory and legal obligations.
This part of ISO/IEC 24760 presents practices for identity management. These practices cover
assurance in controlling identity information use, controlling the access to identity information and
other resources based on identity information, and controlling objectives that should be implemented
when establishing and maintaining an identity management system.
This part of ISO/IEC 24760 consists of the following parts:
— ISO/IEC 24760-1: Terminology and concepts;
— ISO/IEC 24760-2: Reference architecture and requirements;
— ISO/IEC 24760-3: Practice.
ISO/IEC 24760 is intended to provide foundations for other identity management related International
Standards including the following:
— ISO/IEC 29100, Privacy framework;
— ISO/IEC 29101, Privacy reference architecture;
— ISO/IEC 29115, Entity authentication assurance framework;
— ISO/IEC 29146, A framework for access management.
© ISO/IEC 2016 – All rights reserved v
INTERNATIONAL STANDARD ISO/IEC 24760-3:2016(E)
Information technology — Security techniques — A
framework for identity management —
Part 3:
Practice
1 Scope
This part of ISO/IEC 24760 provides guidance for the management of identity information and for
ensuring that an identity management system conforms to ISO/IEC 24760-1 and ISO/IEC 24760-2.
This part of ISO/IEC 24760 is applicable to an identity management system where identifiers or PII
relating to entities are acquired, processed, stored, transferred or used for the purposes of identifying
or authenticating entities and/or for the purpose of decision making using attributes of entities.
Practices for identity management can also be addressed in other standards.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 24760-1, Information technology — Security techniques — A framework for identity
management — Part 1: Terminology and concepts
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 24760-1 and the
following apply.
3.1
identity management system
system comprising of policies, procedures, technology and other resources for maintaining identity
information including meta data
[SOURCE: ISO/IEC 24760-2:2015, 3.3]
3.2
identity profile
identity containing attributes specified by an identity template
3.3
identity template
definition of a specific set of attributes
Note 1 to entry: Typically, the attributes in a profile are to support a particular technical or business purpose as
needed by relying parties.
3.4
identity theft
result of a successful false claim of identity
© ISO/IEC 2016 – All rights reserved 1
3.5
federation manager
actor in a federation responsible for managing the issues arising from the operation of the federation
Note 1 to entry: An existing federation member or an independent third party can carry out the role of federation
manager.
3.6
principal
entity to which identity information in an identity management system pertains
[SOURCE: ISO/IEC 24760-2:2015, 3.4]
4 Symbols and abbreviated terms
For the purposes of this document, the following symbols and abbreviated terms apply.
ICT Information and Communication Technology
IIP Identity Information Provider
IIA Identity Information Authority
PII Personally Identifiable Information
RP Relying Party
5 Mitigating identity related risk in managing identity information
5.1 Overview
Clause 5 presents practices to address identity related risk when operating an identity management
system conforming to ISO/IEC 24760-1, ISO/IEC 24760-2 and ISO/IEC 29115.
5.2 Risk assessment
One function of an identity management system is to manage the risk of identity errors, and the
confidentiality, integrity and availability of identity information that it stores, processes and
communicates. It is necessary to understand the level of risk, which will depend on the application.
The owner of the application should conduct a risk assessment to determine the level of risk. The result
will provide information, which can be used to determine the necessary risk management criteria and
processes for the identity management system. The information an identity management system needs
includes the level of assurance in identity information required and the requirements for confidentiality,
integrity and availability of this information.
ISO/IEC 24760-2 specifies tools to manage risks as policies, regulation, design and architecture. In some
contexts involving consumers, protecting personally identifiable information and giving principals
control over the use of their personally identifiable information is paramount. ISO/IEC 29100,
ISO/IEC 29101, ISO/IEC 29134 and ISO/IEC 29151 (to be published) specify requirements and provide
guidance for the protection of privacy.
Identity information managed by an identity management system may also be managed by reference to
identity information providers in another domain. For example, identity proofing may be undertaken
by a service provider, which operates in a different domain to that of the identity management system.
When identity information is collected and stored, risk management measures shall be implemented by
the identity management service to mitigate the risks identified by a risk assessment carried out in the
2 © ISO/IEC 2016 – All rights reserved
application domain by the relying party. Levels of assurance in regard to identity information and access
services shall be determined and specified by the relying party according to assessed levels of risk.
5.3 Assurance in identity information
5.3.1 General
Confidence in identity information provided by an identity management system comes from processes
that assure the validity of the information from its collection through its subsequent storage and
maintenance by the system. Assurance is typically quantified in terms of assurance levels with higher
levels corresponding to greater assurance. The level of assurance achieved depends on the quality of
the identity information and the rigour of the identity validation processes. Levels of assurance are
described in ISO/IEC 29115.
5.3.2 Identity proofing
Identity proofing, i.e. validating identity information for enrolment of an entity in a domain, shall meet
a defined level of assurance. The level of assurance of identity proofing achievable depends on the type
and characteristics of information and, in some case, the scope of this information, e.g. the number of
independent identity information providers used as sources of the information.
An increased level of assurance in identity verification may be achieved
— with verification of additional credentials issued from multiple sources, and
— using a trusted external party that knows the entity to validate claimed identity information.
NOTE 1 ISO/IEC 29003 provides requirements for identity proofing.
NOTE 2 ISO/IEC 29115 specifies how to achieve different levels of assurance.
5.3.3 Credentials
An identity management system may issue multiple types of credential differing in the level of assurance
of the identity information represented by the credential.
An identity management system issuing credentials with a high level of assurance supported by
a cryptographic mechanism should provide a service for relying parties to actively support the
cryptographic validation process.
5.3.4 Identity profile
An identity management system may use one or more identity profiles for gathering, structuring, or
presenting identity information.
NOTE Although a profile can contain identity information, it is not intended for identification. Its purpose is
to provide identity information about an entity to system processes that need the information for their processes.
An entity may have multiple identity profiles, each containing a different set of attributes for the entity.
For instance, a language preference may be present in a profile for an access interface and not in a
profile for book interests.
An identity template may be established as an international or industry standard. The use of a
standardised identity template to record identity attributes would facilitate the usage of identity
profiles across domains.
An identity profile may be used in access management to determine the required identity attributes for
being authorized for a role or privilege in accessing information. An identity profile may be used as a
pre-configured subset of identity information to be presented when interacting with a service.
© ISO/IEC 2016 – All rights reserved 3
An attribute in an identity profile may be associated with a level of assurance. Using an identity
profile with associated levels of assurance to present identity information shall imply that each item
of information has been validated at minimally its associated level of assurance. An identity profile
specifying requirements for access to services or resources may be associated with a specific additional
entity identifier that may indicate the activities linked to the specific privileges.
6 Identity information and identifiers
6.1 Overview
Organizations should understand the information security concerns for their business and for
compliance with relevant legislation and should provide management support to meet the business
needs. In regard to identity management, organizations should understand their liabilities and ensure
that adequate controls are implemented to mitigate the risks and consequences of identity information
leakage, corruption and loss of availability when collecting, storing, using, transmitting and disposing
of identity information. Organizations should specify control objectives and controls to ensure that
information security requirements are met.
6.2 Policy on accessing identity information
The identity information pertaining to an entity should be managed to ensure that the following:
— identity information remains accurate and up-to-date over time;
— only authorized entities have access to the identity information and are accountable for all uses and
changes in identity information, guaranteeing traceability of any processing of identity information
by any entity, whether a person, a process or a system;
— the organization fulfils its obligations with respect to regulations and contractual agreements;
— principals are protected against the risk of identity-related theft and other identity related crime.
NOTE Typically, an information security policy highlights the necessity to securely manage identity
information. The preservation and protection of any entities identity information is also required when dealing
with third parties as typically documented within the operational procedures.
6.3 Identifiers
6.3.1 General
An identifier allows distinguishing unambiguously one entity from another entity in a domain of
applicability. An entity may have multiple, different identifiers in the same domain. This may facilitate
the representation of the entity in some situations, e.g. hiding the entity’s identity when providing the
entity’s identity information for use in some processes or within some systems. An identifier created in
one domain may be reused intentionally in another domain provided the reused identifier continues to
provide uniqueness of identity within the other domain.
6.3.2 Categorization of identifier by the type of entity to which the identifier is linked
6.3.2.1 Person identifiers
A person identifier may be, e.g. a full name, a date of birth, a place of birth, or various pseudonyms, such
as a number assigned by an authority as a reference, e.g. a passport number, a national identity number
or an identity-card number.
4 © ISO/IEC 2016 – All rights reserved
The use of pseudonyms as identifiers is frequent for person identifiers; see.6.3.3.2.
NOTE A pseudonym can enhance the privacy of persons in an identity-authentication exchange with a
relying party as a pseudonym may reveal less personally identifiable information than if a real name is used as
an identifier.
6.3.2.2 Identifier assigned to a non-person entity
Non-person entities, e.g. devices or other information objects, may have their activities identified and
recorded as for persons.
Device identifiers allow distinction between devices in the domain in which they operate.
NOTE 1 Example: The International Mobile Equipment Identity (IMEI) is an identifier of the mobile telephone
handset in the domain of GSM mobile telephone services.
NOTE 2 Example 2: The GSM SIM card number (ICCID) is a unique device identifier in the domain of a mobile
telephone service. A SIM card also contains other identifiers including that of the user who registered the SIM card.
Information object identifiers may also need to be distinguished in their domains. One of their attributes
of a combination of their attributes is usually used as identifier.
NOTE 3 Example: Process name, session name, path name, uniform resource names (URN),
uniform resource identifier (URI) are examples of information-object identifiers.
NOTE 4 Example: URI is an example of identifier for a location, but the object at that location
may change at any time.
6.3.3 Categorization of identifier by the nature of linking
6.3.3.1 Verinymous identifier
A verinymous identifier is an identifier, persistent in its domain of applicability that may be used within
and across domains and allows a relying party to obtain further identity information for the entity
associated with the identifier. Commonly observed verinimous identifiers includes email address,
mobile phone number, passport number, driving license number, social security number and the name-
date of birth pair.
A verynimous identifier may allow identity information for entities known in different domains to be
correlated. While it is fine to correlate the identities if so desired by the person, unexpected correlation,
e.g. profiling, has a negative privacy impact. By the nature of the veronymous identifier, if information
leakage incident happens, it allows adversaries to perform such correlation and create threats, e.g. of
generating any privacy-related information that the principal did not intend to disclose.
6.3.3.2 Pseudonymous identifier
A pseudonymous identifier is an identifier, persistent in its domain that does not disclose additional
identity information. As long as no other identifying information is available in the domain, identities
from different domain cannot be correlated using a pseudonymous identifier. A pseudonymous identifier
may be used to prevent unwanted correlation of identity information for entities across domains.
NOTE The mere use of pseudonymous identifiers does not equate with identity data being pseudonymous.
Other attributes combined at one point in time or across multiple points in time may be enough to derive
verinymous identifiers.
© ISO/IEC 2016 – All rights reserved 5
6.3.3.3 Ephemeral identifier
An ephemeral identifier is an identifier that is used only for a short period of time and only within a
single domain. It may change for multiple uses to the same service or resource.
NOTE 1 If used correctly, an ephemeral identifier will make it very difficult for two visits by an entity to be
correlated.
NOTE 2 An ephemeral identifier is often used in the context of attribute based access control where access
to a resource is granted if the entity has a particular attribute. For example, if the resource access is granted
for a person because they are a member of a particular group, the identity would be composed of an ephemeral
identifier and a group identifier. These would serve the access control purpose while minimizing the data
disclosed or the possibility of linking multiple accesses, while still differentiating each entity.
6.3.4 Categorization of identifier by the grouping of entities
6.3.4.1 Individual identifier
An individual identifier is an identifier that is associated with only one entity within a domain of
applicability.
6.3.4.2 Group identifiers
Entities are sometimes grouped in a group entity when the need exists to execute activities in a group.
A distinct group identity will represent the group entity and group identifiers will help unambiguously
identifying the group entity and recording activities of the group entity in their domains. Group
identifiers serve the need for a person entity of performing activities in a group or on behalf of a group;
they may hide the action originator of an activity in a group. Additional techniques may therefore be
required to unambiguously identify a single entity as member of a group entity.
6.3.5 Management of identifiers
When updating identity information for a known entity an identity management system may assign a
new identifier to the changed identity; it also may remove the association of the old identifier with the
identity. Changed identity information may be proactively communicated to subsystems that rely on it.
7 Auditing identity information usage
Managing and processing identity information by authorized entities in a domain may be subject to
various legal, regulatory and industry business requirements that necessitate some level of monitoring
and traceability.
NOTE These requirements can be wide ranging, including everything from log-files and other measures
for the protection of personally identifiable information, to maintaining required time-stamp accuracy and
traceability; see ISO/IEC 18014.
An entity providing services associated with identity management should provide mechanisms
assuring auditability.
8 Control objectives and controls
8.1 General
Clause 8 summarizes security objectives and associated controls to be verified when setting up or
reviewing an identity management system.
The structure of the controls follows the structure presented in ISO/IEC 27002.
6 © ISO/IEC 2016 – All rights reserved
8.2 Contextual components for control
8.2.1 Establishing an identity management system
8.2.1.1 Objective
To establish a management system to initiate and control the implementation of managing identity
information for entities.
8.2.1.2 Defining and documenting the domain of applicability
Control
The relying parties for which an entity, or a group of entities, is enabled to apply its identity and
which may use the identity for identification and for other purposes shall be documented to be clearly
understood both by the operators and the entities involved.
Implementation guidance
Documentation that describes the boundaries of the domain of a system for identity management
should be made available to all interested parties. This documentation should specify the limits where
the identity information can be verified. Any potential extensions to other domains or groups of entities
should also be documented.
The documentation should clarify constraints, legally, or otherwise, and associated liabilities, on the
control of identity information in a domain.
Other information
A domain of an identity is well defined in relation to a particular set of attributes defining groups of
entities.
An IT system within an organization that allows a group of entities to login is a sub-domain in that
organization.
8.2.1.3 Identifying identity information providers (IIP), identity information authorities (IIA),
identity management authorities, and regulatory bodies
Control
Identity information authorities for identity information managed by an identity management system
shall be specified for the domain of an identity management system.
Entities endorsing management and regulator responsibilities for the protection of identity information
shall also be identified.
Implementation guidance
Entities associated with an identity management system as source of identity information (IIP),
authoritative statement on available information (IIA), the identity management authority and any
relevant regulatory bodies, government or otherwise, should be clearly identified.
The operations performed by an identity information provider are to create, maintain and make
accessible identity information for entities known in a particular domain. The methods to access
information or obtain services provided by these operational entities should also be provided.
Any changes in availability and methods for access and to obtain services should be actively
communicated to interested parties.
© ISO/IEC 2016 – All rights reserved 7
Other information
An entity may combine the functions of identity information provider and identity information
authority.
8.2.1.4 Identifying relying parties (RP)
Control
Relying parties shall be made known for the domain of the identity management system.
Implementation guidance
Relying parties have trust relationships with one or more identity information authorities. Relying
parties related with an identity information authority may be known at the design stage. RPs may
change over time, joining, or leaving a relationship with one or more identity information authorities in
the domain.
Other information
A relying party is exposed to risk caused by incorrect or invalid identity information.
8.2.1.5 Maintaining an identity management system
Control
A process shall be described to ensure the maintenance of the important operational entities in an
identity management system.
Implementation guidance
Over time, domains of an identity management system may use different identity information
authorities, identity information providers and relying parties to support their interactions with
entities. Domains may also be created and terminated or their conditions of applicability may change.
Important entities for use of an identity management system, e.g. IIA, IIP and RP, may also cease to
exist after being replaced, being archived, or deleted. An identity management system should document
policies and processes that ensure the control of these important entities and should ensure that
valuable information of the identity management system is not lost.
8.2.1.6 Privacy assurance
Control
When human entities interact within an identity management system that manages identity information
of them, it shall have documented policies and have established controls that assure the protection of
their privacy.
Implementation guidance
A basic objective of establishing an identity management system is to ensure the privacy of entities is
preserved at any time.
An identity management system shall document any sensitive information it processes about human
entities to conform to ISO/IEC 24760-1.
8 © ISO/IEC 2016 – All rights reserved
Other information
Requirements for the handling of sensitive identity information are given in
— ISO/IEC 29100, and
— ISO/IEC 29101.
8.2.2 Establishing identity information
8.2.2.1 Objective
To define, document and communicate identity information.
8.2.2.2 Identity representation
Control
References of an entity in an identity management system, which remains the same for the duration
the entity remains known in the domain(s) of the system, may be referred to as “reference identifier.”
The identity management system shall document controls for the identity management systems to
guarantee the unique distinguishability of any entity in any domain of the identity management system.
Implementation guidance
A reference identifier should persist at least for the existence of the entity in an identity management
system and may exist longer than the entity, e.g. for archiving purposes or authorities’ needs.
Identity management system documentation should describe the use and reuse of identifiers. A
reference identifier for an entity should not be reused while any identity information relating to that
entity, including archived information, is recorded on the system.
A reference identifier generator is a tool that may help to provide unique values for reference identifiers.
Other information
To facilitate maintaining the recorded information for a specific identity, the identity management system
may use a reference identifier generator to assign a unique record number to an identity being added.
8.2.2.3 Identity information
Control
The set of values of attributes required to compose identity information pertaining to an entity in
domains of an identity management system shall be fixed, validated by the verifiers, and communicated,
as requested, to relying parties.
Implementation guidance
Verification of the values of required attributes from an identity results in an authenticated identity for
an entity.
The authentication process involves tests by a verifier of one or more identity attributes provided by an
entity to determine, with the required level of assurance, their correctness.
© ISO/IEC 2016 – All rights reserved 9
8.2.2.4 Distinguishing different types of entity
Control
The number of distinct entity types in the domains of an identity management system shall be
recognized and described with distinct attributes values composing their identity.
Implementation guidance
Items inside or outside an ICT system, such as a person, an organization, a device, a subsystem, or a
group of such items that has recognizably distinct existence in domains of an identity management
system, are distinct entity types that may be described with different attribute values.
Each entity type should be documented covering semantic and syntax with the list of required attribute
values for their identity being validated.
8.2.2.5 Authenticating an identity
Control
A process shall be documented that verifies the identity information for an entity.
Implementation guidance
An authentication process involves operations by a verifier that should establish that identity information
for an entity is correct to a level of assurance required by the service to be rendered to the entity.
Verifiers may be the same as, or act on behalf of, the identity information authority for a particular domain.
8.2.3 Managing identity information
8.2.3.1 Objective
To ensure that identity information is maintained and protected in all domains of an identity
management system, from initial enrolment until archiving or deletion.
8.2.3.2 Assurance in collecting and managing identity information
Control
All information security responsibilities for the collection and the management of identity information
shall be defined and allocated.
Implementation guidance
Allocation of information security responsibilities for collecting and managing identity information
shall be established in accordance with the information security policies. Responsibilities for the
protection of individual identity information and for carrying out specific information security
processes on collecting and managing identity information should be identified.
Responsibilities for information security risk management activities and in particular for acceptance
of residual risks when defining levels of assurance in collecting identity information should be defined.
Identity management activities should include the following:
— application(s) implementing an identity register;
— ensuring correctness of the identity information with a defined level of assurance;
10 © ISO/IEC 2016 – All rights reserved
— establishing the domain of origin of specific attribute values in identity information;
— maintaining the identity information over the lifecycle of the identity;
— authenticating the identity;
— mitigating the risk of identity information theft or misuse.
Other information
The information security manager of an organization, if identified, should take overall responsibility
for the development and implementation of the levels of assurance to support the collection of identity
information and for the management of identity information.
8.2.3.3 Defining and controlling identity lifecycle
Control
A formalized process that defines and maintains the lifecycle of identities in domains and controls the
status of any identity in each domain shall be documented.
Implementation guidance
The lifecycle of identity information starts from enrolment and ends when all identity information for
an entity is deleted from the system, including any archived information.
Other information
The following stages in the identity lifecycle are, according to ISO/IEC 24760-1, identified:
— unknown;
— established;
— active;
— suspended;
— archived;
— deleted.
8.3 Architectural components for control
8.3.1 Establishing an identity management system
8.3.1.1 Objective
To ensure a system is implemented and well documented for the management of identity information.
8.3.1.2 Documenting an identity management system
Control
An identity management system shall be documented prior to being implemented.
Implementation guidance
The documented design for the architecture of an identity management system should specify the
system in its deployed context based on defined stakeholders and actors and established requirements.
The documented design should address requirements for both actor and non-actor stakeholders.
© ISO/IEC 2016 – All rights reserved 11
Other information
The documented design shall exhaustively describe
— actor requirements,
— stakeholder requirements,
— view points,
— models,
— components,
— maintenance processes, and
— information flows and actions.
The list of actor’s types and their interactions with the systems should also be documented.
The documented design should specify the scenario used for the identity management system, e.g.
enterprise, federated, service, or heterogeneous. The design should accordingly specify the components
and flows of the selected scenario.
8.3.1.3 Identifying an identity registration authority
Control
An identity registration authority shall be identified for any identity management system.
Implementation guidance
An identity registration authority has the duty and capabilities to set and enforce operational policies
for collecting, recording and updating identity information.
Responsibilities of an identity-registration authority include the following:
— to modify, create or revoke operational policies;
— to authorize modification of mechanisms to establish a required level of assurance in entity
authentication for accessing identity information and system control functions;
— to authorize changes in the type of information recorded in the repository;
— to authorize modification of identity information recorded in the repository.
Other information
If not identified, the information security manager should play the role of the identity registration
authority.
12 © ISO/IEC 2016 – All rights reserved
8.3.2 Controlling an identity management system
8.3.2.1 Objective
To ensure an identity management system is enclosing mechanisms for preserving and maintaining
identity information.
8.3.2.2 Accessing an identity management system
Control
Access to an identity management system shall be limited to people dedicated to its maintenance,
identity information providers and relying parties, and to individuals for the consultation of information
collected on their person in the context of privacy protection.
Implementation guidance
An information management system should develop the required interfaces to provide access to the
need-to-have entities, with appropriate rights authorized by the identity information authority or the
identity registration authority.
8.3.2.3 Required components of an identity management system
Control
An identity management system shall include, at a minimum
— repository of identity information related to the entities recognized in its domains, possibly
organised using identity templates,
— management system operating under a unified policy, capable of collecting identity information
from various validated sources (attributes domains of origins), and deleting the information when
the conditions for storing identity information cease to exist,
— management interfaces for providing access to identity information, and
— storage component archiving the information
...
NORME ISO/IEC
INTERNATIONALE 24760-3
Première édition
2016-08-01
Technologies de l'information —
Techniques de sécurité — Cadre pour
la gestion de l'identité —
Partie 3:
Mise en oeuvre
Information technology — Security techniques — A framework for
identity management —
Part 3: Practice
Numéro de référence
© ISO/IEC 2016
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2016
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2016 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Symboles et abréviations .2
5 Atténuation des risques liés à l'identité dans la gestion des informations d'identité .2
5.1 Vue d'ensemble . 2
5.2 Appréciation du risque . 2
5.3 Assurance en matière d'informations d'identité . 3
5.3.1 Généralités . 3
5.3.2 Vérification de l'identité . . 3
5.3.3 Justificatifs d'identité . 3
5.3.4 Profil d'identité . 3
6 Informations d'identité et identificateurs . 4
6.1 Vue d'ensemble . 4
6.2 Politique d'accès aux informations d'identité . 4
6.3 Identificateurs . 5
6.3.1 Généralités . 5
6.3.2 Catégorisation de l'identificateur par type d'entité à laquelle l'identificateur
est lié . 5
6.3.3 Catégorisation de l'identificateur à partir de la nature du lien . 5
6.3.4 Catégorisation de l'identificateur à partir du regroupement des entités . 6
6.3.5 Gestion des identificateurs . 6
7 Audit de l'utilisation des informations d'identité . 7
8 Objectifs de sécurité et mesures de sécurité . 7
8.1 Généralités . 7
8.2 Composants contextuels pour le contrôle . 7
8.2.1 Établissement d'un système de gestion de l'identité . 7
8.2.2 Établissement des informations d'identité . 9
8.2.3 Gestion des informations d'identité . 11
8.3 Composants architecturaux pour le contrôle .12
8.3.1 Établissement d'un système de gestion de l'identité .12
8.3.2 Contrôle d'un système de gestion de l'identité .13
Annexe A (normative) Mise en œuvre de la gestion des informations d'identité dans une
fédération de systèmes de gestion de l'identité .15
Annexe B (normative) Mise en œuvre de la gestion de l'identité utilisant des justificatifs
d'identité basés sur des attributs pour améliorer la protection de la vie privée .25
Bibliographie .33
iii
© ISO/IEC 2016 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/fr/avant-propos.
Le comité chargé de l'élaboration du présent document est l'ISO/IEC JTC 1, Technologies de l'information,
SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
L'ISO/IEC 24760 comprend les parties suivantes, présentées sous le titre général Technologies de
l'information — Techniques de sécurité — Cadre pour la gestion de l'identité:
— Partie 1: Terminologie et concepts ;
— Partie 2: Architecture de référence et exigences ;
— Partie 3: Mise en œuvre.
iv
© ISO/IEC 2016 – Tous droits réservés
Introduction
Les systèmes de traitement des données collectent généralement un éventail d'informations relatives
à leurs utilisateurs, qu'il s'agisse d'une personne, d'un matériel ou d'un logiciel qui y sont connectés,
et prennent des décisions sur la base des informations recueillies. Ces décisions basées sur l'identité
peuvent concerner l'accès aux applications ou à d'autres ressources.
Afin de répondre au besoin de mise en œuvre efficace et effective des systèmes qui prennent des
décisions basées sur l'identité, l'ISO/IEC 24760 spécifie un cadre pour la délivrance, l'administration
et l'utilisation des données qui sert à caractériser les personnes physiques, les organisations ou les
composants des technologies de l'information qui interviennent au nom de personnes physiques ou
d'organisations.
Pour de nombreuses organisations, la gestion adéquate des informations d'identité est essentielle au
maintien de la sécurité des processus organisationnels. Pour les personnes physiques, une gestion
adéquate de l'identité est importante pour la protection de la vie privée.
La présente partie de l'ISO/IEC 24760 spécifie les concepts fondamentaux et les structures
opérationnelles de la gestion de l'identité dans le but de mettre en œuvre la gestion du système
d'information de sorte que les systèmes d'information puissent satisfaire aux obligations contractuelles,
réglementaires, légales et métier.
La présente partie de l'ISO/IEC 24760 présente les pratiques en matière de gestion de l'identité. Ces
pratiques couvrent l'assurance du contrôle de l'utilisation des informations d'identité, du contrôle de
l'accès aux informations d'identité et aux autres ressources basées sur les informations d'identité, et
du contrôle des objectifs qu'il convient de mettre en œuvre lors de l'établissement et de la maintenance
d'un système de gestion de l'identité.
La présente partie de l'ISO/IEC 24760 se compose des parties suivantes:
— ISO/IEC 24760-1: Terminologie et concepts ;
— ISO/IEC 24760-2: Architecture de référence et exigences ;
— ISO/IEC 24760-3: Mise en œuvre.
L'ISO/IEC 24760 est destinée à fournir une base pour d'autres Normes internationales liées à la gestion
de l'identité, y compris les suivantes:
— ISO/IEC 29100, Cadre privé ;
— ISO/IEC 29101, Architecture de référence pour la protection de la vie privée ;
— ISO/IEC 29115, Cadre d'assurance de l'authentification d'entité ;
— ISO/IEC 29146, Cadre pour gestion d'accès.
v
© ISO/IEC 2016 – Tous droits réservés
NORME INTERNATIONALE ISO/IEC 24760-3:2016(F)
Technologies de l'information — Techniques de sécurité —
Cadre pour la gestion de l'identité —
Partie 3:
Mise en oeuvre
1 Domaine d'application
La présente partie de l'ISO/IEC 24760 fournit des recommandations pour la gestion des informations
d'identité et pour s'assurer qu'un système de gestion de l'identité est conforme à l'ISO/IEC 24760-1 et à
l'ISO/IEC 24760-2.
La présente partie de l'ISO/IEC 24760 est applicable à un système de gestion de l'identité dans lequel
des identificateurs ou des DCP relatifs à des entités sont acquis, traités, stockés, transférés ou utilisés
à des fins d'identification ou d'authentification d'entités et/ou à des fins de prise de décision à l'aide
d'attributs d'entités. Les pratiques relatives à la gestion de l'identité peuvent également être traitées
dans d'autres normes.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 24760-1, Sécurité IT et confidentialité — Cadre pour la gestion de l'identité — Partie 1:
Terminologie et concepts
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO/IEC 24760-1 ainsi que les
suivants, s'appliquent.
3.1
système de gestion de l'identité
système composé de politiques, procédures, technologies et autres ressources destinées au maintien à
jour d'informations d'identité, y compris les métadonnées
[SOURCE: ISO/IEC 24760-2:2015, 3.3, modifié, « système » utilisé à la place de « mécanisme »]
3.2
profil d'identité
identité contenant des attributs spécifiés par un modèle d'identité
3.3
modèle d'identité
définition d'un ensemble spécifique d'attributs
Note 1 à l'article: Généralement, les attributs d'un profil sont destinés à soutenir une fin technique ou métier
particulière selon les besoins des parties utilisatrices.
© ISO/IEC 2016 – Tous droits réservés
3.4
vol d'identité
résultat d'une fausse déclaration d'identité réussie
3.5
responsable de fédération
acteur d'une fédération responsable de la gestion des problèmes découlant du fonctionnement de la
fédération
Note 1 à l'article: Un membre existant de la fédération ou un tiers indépendant peut assumer le rôle de responsable
de fédération.
3.6
mandant
entité à laquelle se rapportent les informations d'identité d'un système de gestion de l'identité
[SOURCE: ISO/IEC 24760-2:2015, 3.4]
4 Symboles et abréviations
Pour les besoins du présent document, les symboles et abréviations suivants s'appliquent.
DCP Données à caractère personnel
ICT Technologies de l'information et de la communication (Information and Communication Technology)
IIA Autorité gestionnaire des informations d'identité (Identity Information Authority)
IIP Fournisseur d'informations d'identité (Identity Information Provider)
RP Partie utilisatrice (Relying Party)
5 Atténuation des risques liés à l'identité dans la gestion des informations
d'identité
5.1 Vue d'ensemble
L'Article 5 présente les pratiques destinées à couvrir les risques liés à l'identité lors de l'exploitation d'un
système de gestion de l'identité conforme à l'ISO/IEC 24760-1, à l'ISO/IEC 24760-2 et à l'ISO/IEC 29115.
5.2 Appréciation du risque
L'une des fonctions d'un système de gestion de l'identité est de gérer le risque d'erreurs d'identité,
ainsi que la confidentialité, l'intégrité et la disponibilité des informations d'identité qu'il stocke, traite
et communique. Il est nécessaire de comprendre le niveau de risque, qui dépendra de l'application. Il
convient que le propriétaire de l'application réalise une appréciation du risque afin de déterminer le
niveau de risque. Le résultat fournira des informations, qui peuvent être utilisées pour déterminer
les critères et les processus de gestion du risque nécessaires pour le système de gestion de l'identité.
Les informations dont un système de gestion de l'identité a besoin comprennent le niveau d'assurance
des informations d'identité requis et les exigences en matière de confidentialité, d'intégrité et de
disponibilité de ces informations.
L'ISO/IEC 24760-2 spécifie les outils de gestion des risques sous la forme de politiques, de réglementations,
de conception et d'architecture. Dans certains contextes impliquant des consommateurs, il est
essentiel de protéger les données à caractère personnel et de donner aux mandants le contrôle de
l'utilisation de leurs données à caractère personnel. L'ISO/IEC 29100, l'ISO/IEC 29101, l'ISO/IEC 29134
et l'ISO/IEC 29151 (à publier) spécifient des exigences et fournissent des recommandations pour la
protection de la vie privée.
© ISO/IEC 2016 – Tous droits réservés
Les informations d'identité gérées par un système de gestion de l'identité peuvent également être
gérées par référence à des fournisseurs d'informations d'identité d'un autre domaine. Par exemple, la
vérification de l'identité peut être effectuée par un fournisseur de services, qui opère dans un domaine
différent de celui du système de gestion de l'identité.
Lorsque des informations d'identité sont collectées et stockées, des mesures de gestion du risque
doivent être mises en œuvre par le service de gestion de l'identité afin d'atténuer les risques identifiés
par une appréciation du risque effectuée dans le domaine d'application par la partie utilisatrice. Les
niveaux d'assurance en ce qui concerne les informations d'identité et les services d'accès doivent être
déterminés et spécifiés par la partie utilisatrice en fonction des niveaux de risque évalués.
5.3 Assurance en matière d'informations d'identité
5.3.1 Généralités
La confiance dans les informations d'identité fournies par un système de gestion de l'identité découle
de processus qui garantissent la validité des informations depuis leur collecte jusqu'à leur stockage
ultérieur et leur maintenance par le système. L'assurance est généralement quantifiée en termes de
niveaux d'assurance, les niveaux les plus élevés correspondant à une plus grande assurance. Le niveau
d'assurance atteint dépend de la qualité des informations d'identité et de la rigueur des processus de
validation de l'identité. Les niveaux d'assurance sont décrits dans l'ISO/IEC 29115.
5.3.2 Vérification de l'identité
La vérification de l'identité, c'est-à-dire la validation des informations d'identité pour l'inscription
d'une entité dans un domaine, doit satisfaire à un niveau d'assurance défini. Le niveau d'assurance de
la vérification d'identité atteignable dépend du type et des caractéristiques des informations et, dans
certains cas, de la portée de ces informations, par exemple le nombre de fournisseurs indépendants
d'informations d'identité utilisés comme sources des informations.
Un niveau accru d'assurance dans la vérification de l'identité peut être obtenu:
— par la vérification de justificatifs d'identité supplémentaires émanant de multiples sources ; et
— par le recours à une partie externe de confiance qui connaît l'entité pour valider les informations
d'identité déclarées.
NOTE 1 L'ISO/IEC 29003 fournit les exigences applicables à la vérification de l'identité.
NOTE 2 L'ISO/IEC 29115 spécifie comment atteindre différents niveaux d'assurance.
5.3.3 Justificatifs d'identité
Un système de gestion de l'identité peut émettre plusieurs types de justificatifs d'identité qui diffèrent
en termes de niveau d'assurance des informations d'identité représentées par le justificatif d'identité.
Il convient qu'un système de gestion de l'identité qui émet des justificatifs d'identité avec un haut niveau
d'assurance soutenu par un mécanisme cryptographique fournisse un service permettant aux parties
utilisatrices de soutenir activement le processus de validation cryptographique.
5.3.4 Profil d'identité
Un système de gestion de l'identité peut utiliser un ou plusieurs profils d'identité pour recueillir,
structurer ou présenter les informations d'identité.
NOTE Bien qu'un profil puisse contenir des informations d'identité, il n'est pas destiné à l'identification. Sa
finalité est de fournir des informations d'identité sur une entité aux processus du système qui ont besoin de ces
informations pour leurs processus.
© ISO/IEC 2016 – Tous droits réservés
Une entité peut avoir plusieurs profils d'identité, chacun contenant un ensemble différent d'attributs
pour l'entité. Par exemple, une préférence linguistique peut être présente dans un profil destiné à une
interface d'accès et ne pas l'être dans un profil destiné à des intérêts en matière de lecture.
Un modèle d'identité peut être établi en tant que Norme internationale ou sectorielle. L'utilisation d'un
modèle d'identité normalisé pour enregistrer les attributs d'identité faciliterait l'utilisation des profils
d'identité dans différents domaines.
Un profil d'identité peut être utilisé dans la gestion de l'accès afin de déterminer les attributs d'identité
requis pour être autorisé à assumer un rôle ou à obtenir un privilège d'accès à des informations. Un
profil d'identité peut être utilisé comme un sous-ensemble préconfiguré d'informations d'identité à
présenter lors des interactions avec un service.
Un attribut d'un profil d'identité peut être associé à un niveau d'assurance. L'utilisation d'un profil
d'identité avec des niveaux d'assurance associés dans le but de présenter des informations d'identité
doit impliquer que chaque information a été validée au minimum à son niveau d'assurance associé. Un
profil d'identité spécifiant les exigences d'accès aux services ou aux ressources peut être associé à un
identificateur d'entité supplémentaire spécifique qui peut indiquer les activités liées aux privilèges
spécifiques.
6 Informations d'identité et identificateurs
6.1 Vue d'ensemble
Il convient que les organisations comprennent les enjeux en matière de sécurité de l'information
pour leur activité et pour la conformité à la législation pertinente et il convient qu'elles fournissent
un soutien en matière de gestion pour satisfaire aux besoins métier. En ce qui concerne la gestion de
l'identité, il convient que les organisations comprennent leurs responsabilités et s'assurent que des
mesures de sécurité adéquates sont mis en œuvre afin d'atténuer les risques et les conséquences d'une
fuite, de la corruption et de la perte de disponibilité des informations d'identité lors de la collecte, du
stockage, de l'utilisation, de la transmission et de l'élimination des informations d'identité. Il convient
que les organisations spécifient des objectifs de sécurité et des mesures de sécurité pour s'assurer que
les exigences en matière de sécurité des informations sont satisfaites.
6.2 Politique d'accès aux informations d'identité
Il convient que les informations d'identité relatives à une entité soient gérées afin de s'assurer que:
— les informations d'identité demeurent exactes et à jour au fil du temps ;
— seules les entités autorisées ont accès aux informations d'identité et sont responsables de toutes
les utilisations et modifications des informations d'identité, ce qui garantit la traçabilité de tout
traitement d'informations d'identité par toute entité, qu'il s'agisse d'une personne, d'un processus
ou d'un système ;
— l'organisation remplit ses obligations en matière de réglementation et d'accords contractuels ;
— les mandants sont protégés contre le risque de vol lié à l'identité et autre crime lié à l'identité.
NOTE En règle générale, une politique de sécurité de l'information souligne la nécessité de gérer les
informations d'identité de façon sécurisée. La préservation et la protection des informations d'identité de toute
entité sont également requises lors des transactions avec des tiers, tel que généralement documenté dans les
procédures opérationnelles.
© ISO/IEC 2016 – Tous droits réservés
6.3 Identificateurs
6.3.1 Généralités
Un identificateur permet de distinguer sans ambiguïté une entité d'une autre entité dans un domaine
d'applicabilité. Une entité peut avoir plusieurs identificateurs différents dans le même domaine. Cela
peut faciliter la représentation de l'entité dans certaines situations, par exemple en masquant l'identité
de l'entité lors de la fourniture d'informations d'identité de l'entité à utiliser dans certains processus ou
dans certains systèmes. Un identificateur créé dans un domaine peut être réutilisé intentionnellement
dans un autre domaine, à condition que l'identificateur réutilisé continue à assurer l'unicité de l'identité
dans l'autre domaine.
6.3.2 Catégorisation de l'identificateur par type d'entité à laquelle l'identificateur est lié
6.3.2.1 Identificateurs de personnes
Un identificateur de personne peut être, par exemple, un nom complet, une date de naissance, un lieu de
naissance, ou divers pseudonymes, tels qu'un numéro attribué par une autorité comme référence, par
exemple un numéro de passeport, un numéro d'identité nationale ou un numéro de carte d'identité.
L'utilisation de pseudonymes en tant qu'identificateurs est fréquente pour les identificateurs de
personnes ; voir 6.3.3.2.
NOTE Un pseudonyme peut améliorer la protection de la vie privée des personnes dans un échange
d'authentification d'identité avec une partie utilisatrice, car un pseudonyme peut révéler moins de données à
caractère personnel que si un nom réel était utilisé comme identificateur.
6.3.2.2 Identificateur attribué à une entité non humaine
Les entités non humaines, par exemple les dispositifs ou autres objets d'information, peuvent voir leurs
activités identifiées et enregistrées comme pour les personnes.
Les identificateurs de dispositifs permettent de distinguer les dispositifs dans le domaine dans lequel
ils opèrent.
NOTE 1 Exemple: L'IMEI (International Mobile Equipment Identity) est un identificateur du téléphone portable
dans le domaine des services de téléphonie mobile GSM.
NOTE 2 Exemple 2: Le numéro de carte SIM GSM (ICCID) est un identificateur unique de dispositif dans le
domaine d'un service de téléphonie mobile. Une carte SIM contient également d'autres identificateurs, y compris
celui de l'utilisateur qui a enregistré la carte SIM.
Il peut également être nécessaire de distinguer les identificateurs d'objets d'information dans leurs
domaines. L'un de leurs attributs ou une combinaison de leurs attributs est généralement utilisé(e)
comme identificateur.
NOTE 3 Exemple: Le nom de processus, le nom de session, le nom de chemin, les noms de ressource uniforme
(URN), l'identificateur de ressource uniforme (URI) sont des exemples d'identificateurs d'objets d'information.
NOTE 4 Exemple: L'URI est un exemple d'identificateur pour un emplacement, mais l'objet se trouvant à cet
emplacement peut changer à tout moment.
6.3.3 Catégorisation de l'identificateur à partir de la nature du lien
6.3.3.1 Identificateur vérinyme
Un identificateur vérinyme est un identificateur, persistant dans son domaine d'applicabilité, qui peut
être utilisé au sein du domaine et entre domaines, et qui permet à une partie utilisatrice d'obtenir des
informations d'identité supplémentaires pour l'entité associée à l'identificateur. Les identificateurs
vérinymes couramment rencontrés comprennent l'adresse de messagerie électronique, le numéro de
© ISO/IEC 2016 – Tous droits réservés
téléphone portable, le numéro de passeport, le numéro de permis de conduire, le numéro de sécurité
sociale et la paire nom-date de naissance.
Un identificateur vérinyme peut permettre la corrélation d'informations d'identité pour des entités
connues dans différents domaines. Bien qu'il soit tout à fait acceptable de corréler les identités si la
personne le souhaite, une corrélation inattendue, par exemple un profilage, a un impact négatif sur la vie
privée. De par la nature de l'identificateur vérinyme, si une fuite d'information se produit, cela permet
aux adversaires d'effectuer une telle corrélation et de créer des menaces, par exemple de générer toute
information liée à la vie privée que le mandant n'avait pas l'intention de divulguer.
6.3.3.2 Identificateur pseudonyme
Un identificateur pseudonyme est un identificateur, persistant dans son domaine, qui ne divulgue pas
d'informations d'identité supplémentaires. Tant qu'aucune autre information d'identification n'est pas
disponible dans le domaine, il n'est pas possible de corréler les identités d'un domaine différent à partir
d'un identificateur pseudonyme. Un identificateur pseudonyme peut être utilisé pour empêcher une
corrélation indésirable des informations d'identité des entités entre les domaines.
NOTE La simple utilisation d'identificateurs pseudonymes ne signifie pas que les données d'identité sont
pseudonymes. D'autres attributs combinés à un moment donné ou à plusieurs moments peuvent suffire pour
déduire des identificateurs vérinymes.
6.3.3.3 Identificateur éphémère
Un identificateur éphémère est un identificateur qui est utilisé uniquement pour une courte durée, et
uniquement au sein d'un domaine unique. Il peut changer pour plusieurs utilisations d'un même service
ou d'une même ressource.
NOTE 1 S'il est utilisé correctement, un identificateur éphémère rendra très difficile la corrélation de deux
visites par une entité.
NOTE 2 Un identificateur éphémère est souvent utilisé dans le contexte du contrôle d'accès basé sur des
attributs où l'accès à une ressource est accordé si l'entité dispose d'un attribut particulier. Par exemple, si l'accès
aux ressources est accordé pour une personne, car elle est membre d'un groupe donné, l'identité serait composée
d'un identificateur éphémère et d'un identificateur de groupe. Ces identificateurs serviraient aux fins du contrôle
d'accès tout en minimisant les données divulguées ou la possibilité d'établissement d'un lien entre plusieurs
accès, tout en permettant de distinguer chaque entité.
6.3.4 Catégorisation de l'identificateur à partir du regroupement des entités
6.3.4.1 Identificateur individuel
Un identificateur individuel est un identificateur qui est associé à une seule entité dans un domaine
d'applicabilité.
6.3.4.2 Identificateurs de groupe
Les entités sont parfois réunies au sein d'une entité de groupe lorsqu'il s'avère nécessaire d'exécuter les
activités en groupe. Une identité de groupe distincte représentera l'entité de groupe et les identificateurs
de groupe contribueront à identifier sans ambiguïté l'entité de groupe et à enregistrer les activités de
l'entité de groupe dans leur domaine. Les identificateurs de groupe répondent au besoin d'une entité
humaine d'effectuer des activités en groupe ou au nom d'un groupe ; ils peuvent masquer l'auteur d'une
activité au sein d'un groupe. Des techniques supplémentaires peuvent par conséquent être nécessaires
pour identifier sans ambiguïté une entité unique comme membre d'une entité de groupe.
6.3.5 Gestion des identificateurs
Lors de la mise à jour d'informations d'identité pour une entité connue, un système de gestion de
l'identité peut attribuer un nouvel identificateur à l'identité modifiée ; il peut également supprimer
© ISO/IEC 2016 – Tous droits réservés
l'association de l'ancien identificateur avec l'identité. Les informations d'identité modifiées peuvent
être communiquées de façon proactive aux sous-systèmes qui s'appuient sur elles.
7 Audit de l'utilisation des informations d'identité
La gestion et le traitement des informations d'identité par des entités autorisées dans un domaine
peuvent être soumis à diverses exigences métier légales, réglementaires et sectorielles qui nécessitent
un certain niveau de surveillance et de traçabilité.
NOTE Ces exigences peuvent être d'une grande variété, allant des fichiers journaux et autres mesures
de protection des données à caractère personnel, au maintien de l'exactitude et de la traçabilité requises des
horodatages ; voir l'ISO/IEC 18014.
Il convient qu'une entité qui fournit des services associés à la gestion de l'identité fournisse des
mécanismes garantissant l'aptitude à l'audit.
8 Objectifs de sécurité et mesures de sécurité
8.1 Généralités
L'Article 8 résume les objectifs de sécurité et les mesures de sécurité associées à vérifier lors de la mise
en place ou de la revue d'un système de gestion de l'identité.
La structure des mesures de sécurité suit la structure présentée dans l'ISO/IEC 27002.
8.2 Composants contextuels pour le contrôle
8.2.1 Établissement d'un système de gestion de l'identité
8.2.1.1 Objectif
Établir un système de gestion afin de lancer et de contrôler la mise en œuvre de la gestion des
informations d'identité pour les entités.
8.2.1.2 Définition et documentation du domaine d'applicabilité
Mesure de sécurité
Les parties utilisatrices pour lesquelles une entité, ou un groupe d'entités, est autorisé(e) à appliquer son
identité et qui peuvent utiliser l'identité pour l'identification et à d'autres fins doivent être documentées
afin d'être clairement comprises, à la fois par les opérateurs et par les entités concernées.
Recommandations de mise en œuvre
Il convient qu'une documentation décrivant les limites du domaine d'un système de gestion de l'identité
soit mise à la disposition de toutes les parties intéressées. Il convient que cette documentation spécifie
les limites où les informations d'identité peuvent être vérifiées. Il convient que toute extension
potentielle à d'autres domaines ou groupes d'entités soit également documentée.
Il convient que la documentation clarifie les contraintes, légales ou autres, ainsi que les responsabilités
associées, s'exerçant sur le contrôle des informations d'identité dans un domaine.
Autres informations
Un domaine d'une identité est bien défini par rapport à un ensemble particulier d'attributs définissant
des groupes d'entités.
© ISO/IEC 2016 – Tous droits réservés
Un système informatique au sein d'une organisation qui autorise un groupe d'entités à se connecter est
un sous-domaine de cette organisation.
8.2.1.3 Identification des fournisseurs d'informations d'identité (IIP), des autorités
gestionnaires des informations d'identité (IIA), des autorités gestionnaires d'identité et des
organismes réglementaires
Mesure de sécurité
Les autorités gestionnaires des informations d'identité pour les informations d'identité gérées par un
système de gestion de l'identité doivent être spécifiées pour le domaine d'un système de gestion de
l'identité.
Les entités qui assument des responsabilités de gestion et de réglementation pour la protection des
informations d'identité doivent également être identifiées.
Recommandations de mise en œuvre
Il convient d'identifier clairement les entités associées à un système de gestion de l'identité en tant que
source d'informations d'identité (IIP), la déclaration faisant autorité sur les informations disponibles
(IIA), l'autorité gestionnaire d'identité et tout organisme réglementaire pertinent, gouvernemental ou
autre.
Les opérations effectuées par un fournisseur d'informations d'identité sont la création, le maintien à
jour et la mise à disposition d'informations d'identité pour les entités connues dans un domaine donné.
Il convient que les méthodes permettant d'accéder aux informations ou d'obtenir des services fournis
par ces entités opérationnelles soient également fournies.
Il convient que toute modification en matière de disponibilité et de méthodes d'accès et d'obtention des
services soit communiquée de façon active aux parties intéressées.
Autres informations
Une entité peut combiner les fonctions de fournisseur d'informations d'identité et d'autorité gestionnaire
des informations d'identité.
8.2.1.4 Identification des parties utilisatrices (RP)
Mesure de sécurité
Les parties utilisatrices doivent être communiquées pour le domaine du système de gestion de l'identité.
Recommandations de mise en œuvre
Les parties utilisatrices ont des relations de confiance avec une ou plusieurs autorités gestionnaires des
informations d'identité. Les parties utilisatrices associées à une autorité gestionnaire des informations
d'identité peuvent être connues lors de la phase de conception. Les RP peuvent changer au fil du temps,
et rejoindre ou quitter une relation avec une ou plusieurs autorités gestionnaires des informations
d'identité du domaine.
Autres informations
Une partie utilisatrice est exposée au risque lié à des informations d'identité incorrectes ou invalides.
8.2.1.5 Maintenance d'un système de gestion de l'identité
Mesure de sécurité
Un processus doit être décrit afin de garantir la maintenance des entités opérationnelles importantes
d'un système de gestion de l'identité.
© ISO/IEC 2016 – Tous droits réservés
Recommandations de mise en œuvre
Au fil du temps, les domaines d'un système de gestion de l'identité peuvent utiliser différentes
autorités gestionnaires des informations d'identité, différents fournisseurs d'informations d'identité et
différentes parties utilisatrices pour soutenir leurs interactions avec les entités. Des domaines peuvent
également être créés et résiliés, ou leurs conditions d'applicabilité peuvent changer.
Les entités importantes destinées à être utilisées dans un système de gestion de l'identité, par
exemple l'IIA, l'IIP et la RP, peuvent également cesser d'exister après avoir été remplacées, archivées ou
supprimées. Il convient qu'un système de gestion de l'identité documente les politiques et processus qui
garantissent le contrôle de ces entités importantes, et qu'il s'assure qu'aucune information précieuse du
système de gestion de l'identité n'est perdue.
8.2.1.6 Garantie de protection de la vie privée
Mesure de sécurité
Lorsque des entités humaines interagissent au sein d'un système de gestion de l'identité qui gère des
informations d'identité les concernant, il doit y avoir des politiques documentées et des mesures de
sécurité établies qui garantissent la protection de leur vie privée.
Recommandations de mise en œuvre
Un objectif de base de l'établissement d'un système de gestion de l'identité est de garantir que la vie
privée des entités est respectée à tout moment.
Un système de gestion de l'identité doit documenter toute information sensible qu'il traite au sujet des
entités humaines afin de se conformer à l'ISO/IEC 24760-1.
Autres informations
Les exigences relatives au traitement des informations d'identité sensibles sont données dans:
— l'ISO/IEC 29100 ; et
— l'ISO/IEC 29101.
8.2.2 Établissement des informations d'identité
8.2.2.1 Objectif
Définir, documenter et communiquer les informations d'identité.
8.2.2.2 Représentation des identités
Mesure de sécurité
Les références d'une entité dans un système de gestion de l'identité, qui restent les mêmes pendant
toute la durée pendant laquelle l'entité reste connue dans le(s) domaine(s) du système, peuvent être
appelées « identificateur de référence ». Le système de gestion de l'identité doit documenter des
mesures de sécurité pour les systèmes de gestion de l'identité afin de garantir la capacité à distinguer
de façon unique toute entité dans tout domaine du système de gestion de l'identité.
Recommandations de mise en œuvre
Il convient qu'un identificateur de référence persiste au moins pendant l'existence de l'entité dans un
système de gestion de l'identité et il peut exister plus longtemps que l'entité, par exemple à des fins
d'archivage ou pour les besoins des autorités.
Il convient que la documentation du système de gestion de l'identité décrive l'utilisation et la réutilisation
des identificateurs. Il convient qu'un identificateur de référence d'une entité ne soit pas réutilisé tant
© ISO/IEC 2016 – Tous droits réservés
qu'une quelconque information d'identité associée à cette entité, y compris des informations archivées,
est enregistrée sur le système.
Un générateur d'identificateurs de référence est un outil qui peut contribuer à fournir des valeurs
uniques pour les identificateurs de référence.
Autres informations
Afin de faciliter la maintenance des informations enregistrées pour une identité donnée, le système de
gestion de l'identité peut utiliser un générateur d'identificateurs de référence pour attribuer un numéro
d'enregistrement unique à une identité en cours d'ajout.
8.2.2.3 Informations d'identité
Mesure de sécurité
L'ensemble des valeurs des attributs requis pour composer les informations d'identité relatives à une
entité dans les domaines d'un système de gestion de l'identité doit être fixé, validé par les vérificateurs
et communiqué, tel que demandé, aux parties utilisatrices.
Recommandations de mise en œuvre
La vérification des valeurs des attributs requis d'une entité se traduit par une identité authentifiée pour
une entité.
Le processus d'authentification implique le contrôle, par un vérificateur, d'un ou de plusieurs attributs
d'identité fournis par une entité, afin d'en déterminer la validité avec le niveau de garantie requis.
8.2.2.4 Différenciation des différents types d'entités
Mesure de sécurité
Le nombre de types d'entités différents dans les domaines d'un système de gestion de l'identité doit
être reconnu et décrit avec les valeurs d'attributs distinctes composant leur identité.
Recommandations de mise en œuvre
Les éléments à l'intérieur ou à l'extérieur d'un système ICT, tels qu'une personne, une organisation,
un dispositif, un sous-système ou un groupe d'éléments de cette nature ayant une existence distincte
reconnaissable dans les domaines d'un système de gestion de l'identité, sont des types d'entité distincts
qui peuvent être décrits avec différentes valeurs d'attribut.
Il convient que chaque type d'entité soit documenté en couvrant la sémantique et la syntaxe, et que la
liste des valeurs d'attribut requises pour leur identité soit validée.
8.2.2.5 Authentification d'une identité
Mesure de sécurité
Il faut documenter un processus qui vérifie les informations d'identité pour une entité.
Recommandations de mise en œuvre
Un processus d'authentification implique des opérations par un vérificateur dont il convient qu'elles
établissent que les informations d'identité pour une entité sont correctes à un niveau d'assurance
requis par le service à rendre à l'entité.
Un vérificateur peut être identique à, ou agir pour le compte de, l'autorité gestionnaire des informations
d'identité pour un domaine particulier.
© ISO/IEC 2016 – Tous droits réservés
8.2.3 Gestion des informations d'identité
8.2.3.1 Objectif
Garantir que les informations d'identité sont maintenues à jour et protégée
...
Style Definition: Heading 1: Indent: Left: 0 pt, First line:
ISO/IEC JTC 1/SC 27
0 pt
Style Definition: Heading 2: Font: Bold, Tab stops: Not at
Date : 2016-10-1208
18 pt
Style Definition: Heading 3: Font: Bold
Style Definition: Heading 4: Font: Bold
ISO/IEC JTC 1/SC 27
Style Definition: Heading 5: Font: Bold
Style Definition: Heading 6: Font: Bold
Secrétariat : DIN
Style Definition: ANNEX
Style Definition: RefNorm
Technologies de l'information — Techniques de sécurité — Cadre pour la
gestion de l'identité — Partie 3: Mise en œuvre Style Definition: List Continue 1
Style Definition: Body Text_Center
Information technology — Security techniques — A framework for identity
Style Definition: Dimension_100
management — Part 3: Practice
Style Definition: Figure Graphic
Style Definition: Figure subtitle
ICS : 35.040
Style Definition: List Number 1
Style Definition: AMEND Terms Heading: Font: Bold
Style Definition: AMEND Heading 1 Unnumbered: Font:
Bold
Formatted: Pattern: Clear
Formatted: English (United States)
Formatted: English (United States)
Formatted: English (United States)
Formatted: English (United States)
Type de document : Error! Reference source not found.
Sous-type de document : Error! Reference source not found.
Stade du document : Error! Reference source not found.
Langue du document : Error! Reference source not found.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2016
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en
œuvre, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme
que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage
sur l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation
peuvent être adressées à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du
demandeur.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél. : + 41 22 749 01 11
Fax : + 41 22 749 09 47
E-mail : copyright@iso.org
Web : www.iso.org
Publié en Suisse
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Formatted: French (Switzerland)
© ISO/IEC 2016 – Tous droits réservés
Sommaire Page
Avant-propos . iv
Introduction. v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles et abréviations . 2
5 Atténuation des risques liés à l'identité dans la gestion des informations d'identité . 2
5.1 Vue d'ensemble . 2
5.2 Appréciation du risque . 3
5.3 Assurance en matière d'informations d'identité . 3
5.3.1 Généralités . 3
5.3.2 Vérification de l'identité . 3
5.3.3 Justificatifs d'identité . 4
5.3.4 Profil d'identité . 4
6 Informations d'identité et identificateurs . 5
6.1 Vue d'ensemble . 5
6.2 Politique d'accès aux informations d'identité . 5
6.3 Identificateurs . 5
6.3.1 Généralités . 5
6.3.2 Catégorisation de l'identificateur par type d'entité à laquelle l'identificateur est lié . 5
6.3.3 Catégorisation de l'identificateur à partir de la nature du lien . 6
6.3.4 Catégorisation de l'identificateur à partir du regroupement des entités . 7
6.3.5 Gestion des identificateurs . 7
7 Audit de l'utilisation des informations d'identité . 8
8 Objectifs de sécurité et mesures de sécurité . 8
8.1 Généralités . 8
8.2 Composants contextuels pour le contrôle . 8
8.2.1 Établissement d'un système de gestion de l'identité . 8
8.2.2 Établissement des informations d'identité . 11
8.2.3 Gestion des informations d'identité . 12
8.3 Composants architecturaux pour le contrôle . 14
8.3.1 Établissement d'un système de gestion de l'identité . 14
8.3.2 Contrôle d'un système de gestion de l'identité . 15
Annexe A (normative) Mise en œuvre de la gestion des informations d'identité dans une
fédération de systèmes de gestion de l'identité . 17
Annexe B (normative) Mise en œuvre de la gestion de l'identité utilisant des justificatifs
d'identité basés sur des attributs pour améliorer la protection de la vie privée . 29
© ISO/IEC 2016 – Tous droits réservés
Bibliographie . 37
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Formatted: French (Switzerland)
© ISO/IEC 2016 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en
général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit
de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales
et non gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore
étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne la
normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration
du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par
l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant : www.iso.org/iso/fr/avant-propos.
Le comité chargé de l'élaboration du présent document est l'ISO/IEC JTC 1, Technologies de l'information, Commented [eXtyles1]: Invalid reference:
"ISO/IEC JTC 1"
SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Formatted: Pattern: Clear
L'ISO/IEC 24760 comprend les parties suivantes, présentées sous le titre général Technologies de
Formatted: Pattern: Clear
l'information — Techniques de sécurité — Cadre pour la gestion de l'identité :
Formatted: Pattern: Clear
Formatted: Pattern: Clear
— Partie 1 : Terminologie et concepts ;
— Partie 2 : Architecture de référence et exigences ;
— Partie 3 : Mise en œuvre.
© ISO/IEC 2016 – Tous droits réservés
Introduction
Les systèmes de traitement des données collectent généralement un éventail d'informations relatives à
leurs utilisateurs, qu'il s'agisse d'une personne, d'un matériel ou d'un logiciel qui y sont connectés, et
prennent des décisions sur la base des informations recueillies. Ces décisions basées sur l'identité
peuvent concerner l'accès aux applications ou à d'autres ressources.
Afin de répondre au besoin de mise en œuvre efficace et effective des systèmes qui prennent des décisions
basées sur l'identité, l'ISO/IEC 24760 spécifie un cadre pour la délivrance, l'administration et l'utilisation Formatted: Pattern: Clear
des données qui sert à caractériser les personnes physiques, les organisations ou les composants des
Formatted: Pattern: Clear
technologies de l'information qui interviennent au nom de personnes physiques ou d'organisations.
Pour de nombreuses organisations, la gestion adéquate des informations d'identité est essentielle au
maintien de la sécurité des processus organisationnels. Pour les personnes physiques, une gestion
adéquate de l'identité est importante pour la protection de la vie privée.
La présente partie de l'ISO/IEC 24760 spécifie les concepts fondamentaux et les structures
Formatted: Pattern: Clear
opérationnelles de la gestion de l'identité dans le but de mettre en œuvre la gestion du système
Formatted: Pattern: Clear
d'information de sorte que les systèmes d'information puissent satisfaire aux obligations contractuelles,
réglementaires, légales et métier.
La présente partie de l'ISO/IEC 24760 présente les pratiques en matière de gestion de l'identité. Ces
Formatted: Pattern: Clear
pratiques couvrent l'assurance du contrôle de l'utilisation des informations d'identité, du contrôle de
Formatted: Pattern: Clear
l'accès aux informations d'identité et aux autres ressources basées sur les informations d'identité, et du
contrôle des objectifs qu'il convient de mettre en œuvre lors de l'établissement et de la maintenance d'un
système de gestion de l'identité.
La présente partie de l'ISO/IEC 24760 se compose des parties suivantes : Formatted: Pattern: Clear
Formatted: Pattern: Clear
— ISO/IEC 24760-1 : Terminologie et concepts ;
— ISO/IEC 24760-2 : Architecture de référence et exigences ;
— ISO/IEC 24760-3 : Mise en œuvre.
L'ISO/IEC 24760 est destinée à fournir une base pour d'autres Normes internationales liées à la gestion Formatted: Pattern: Clear
de l'identité, y compris les suivantes :
Formatted: Pattern: Clear
— ISO/IEC 29100, Cadre privé ;
— ISO/IEC 29101, Architecture de référence pour la protection de la vie privée ;
— ISO/IEC 29115, Cadre d'assurance de l'authentification d'entité ;
— ISO/IEC 29146, Cadre pour gestion d'accès.
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Formatted: French (Switzerland)
© ISO/IEC 2016 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
Technologies de l'information — Techniques de
sécurité — Cadre pour la gestion de l'identité — Partie 3: Mise
en œuvre
1 Domaine d'application
La présente partie de l'ISO/IEC 24760 fournit des recommandations pour la gestion des informations
Formatted: Pattern: Clear
d'identité et pour s'assurer qu'un système de gestion de l'identité est conforme à l'ISO/IEC 24760-1 et à
Formatted: Pattern: Clear
l'ISO/IEC 24760-2.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
La présente partie de l'ISO/IEC 24760 est applicable à un système de gestion de l'identité dans lequel des
identificateurs ou des DCP relatifs à des entités sont acquis, traités, stockés, transférés ou utilisés à des
Formatted: Pattern: Clear
fins d'identification ou d'authentification d'entités et/ou à des fins de prise de décision à l'aide d'attributs
Formatted: Pattern: Clear
d'entités. Les pratiques relatives à la gestion de l'identité peuvent également être traitées dans d'autres
Formatted: Pattern: Clear
normes.
Formatted: Pattern: Clear
2 Références normatives Formatted: Pattern: Clear
Formatted: Pattern: Clear
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 24760-1, Sécurité IT et confidentialité — Cadre pour la gestion de l'identité — Partie 1:
Terminologie et concepts
Commented [eXtyles2]: The match came back with a
different title. The original title was: Sécurité IT et
confidentialité — Cadre pour la gestion de l’identité —
3 Termes et définitions
Partie 1 : Terminologie et concepts
Pour les besoins du présent document, les termes et définitions de l'ISO/IEC 24760-1 ainsi que les
Formatted: Pattern: Clear
suivants, s'appliquent.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
3.1
système de gestion de l'identité
système composé de politiques, procédures, technologies et autres ressources destinées au maintien à
jour d'informations d'identité, y compris les métadonnées
[SOURCE : ISO/IEC 24760-2:2015, 3.3, modifié, « système » utilisé à la place de « mécanisme »] Formatted: Pattern: Clear
Formatted: Pattern: Clear
3.2
Formatted: Pattern: Clear
profil d'identité
Formatted: Pattern: Clear
identité contenant des attributs spécifiés par un modèle d'identité
Formatted: Pattern: Clear
3.3
modèle d'identité
définition d'un ensemble spécifique d'attributs
Note 1 à l'article: Généralement, les attributs d'un profil sont destinés à soutenir une fin technique ou métier
particulière selon les besoins des parties utilisatrices.
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
3.4
vol d'identité
résultat d'une fausse déclaration d'identité réussie
3.5
responsable de fédération
acteur d'une fédération responsable de la gestion des problèmes découlant du fonctionnement de la
fédération
Note 1 à l'article: Un membre existant de la fédération ou un tiers indépendant peut assumer le rôle de
responsable de fédération.
3.6
mandant
entité à laquelle se rapportent les informations d'identité d'un système de gestion de l'identité
[SOURCE : ISO/IEC 24760-2:2015, 3.4] Formatted: Pattern: Clear
Formatted: Pattern: Clear
4 Symboles et abréviations
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Pour les besoins du présent document, les symboles et abréviations suivants s'appliquent.
Formatted: Pattern: Clear
DCP Données à caractère personnel
ICT Technologies de l'information et de la communication (Information and Communication
Technology)
IIA Autorité gestionnaire des informations d'identité (Identity Information Authority)
IIP Fournisseur d'informations d'identité (Identity Information Provider)
RP Partie utilisatrice (Relying Party)
5 Atténuation des risques liés à l'identité dans la gestion des informations
d'identité
5.1 Vue d'ensemble
L'Article 5 présente les pratiques destinées à couvrir les risques liés à l'identité lors de l'exploitation d'un Formatted: Pattern: Clear
système de gestion de l'identité conforme à l'ISO/IEC 24760-1, à l'ISO/IEC 24760-2 et à l'ISO/IEC 29115.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
5.2 Appréciation du risque
Formatted: Pattern: Clear
L'une des fonctions d'un système de gestion de l'identité est de gérer le risque d'erreurs d'identité, ainsi
Formatted: Pattern: Clear
que la confidentialité, l'intégrité et la disponibilité des informations d'identité qu'il stocke, traite et
Formatted: Pattern: Clear
communique. Il est nécessaire de comprendre le niveau de risque, qui dépendra de l'application. Il
Formatted: Pattern: Clear
convient que le propriétaire de l'application réalise une appréciation du risque afin de déterminer le
Formatted: Pattern: Clear
niveau de risque. Le résultat fournira des informations, qui peuvent être utilisées pour déterminer les
Formatted: Pattern: Clear
critères et les processus de gestion du risque nécessaires pour le système de gestion de l'identité. Les
informations dont un système de gestion de l'identité a besoin comprennent le niveau d'assurance des
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
informations d'identité requis et les exigences en matière de confidentialité, d'intégrité et de disponibilité
de ces informations.
L'ISO/IEC 24760-2 spécifie les outils de gestion des risques sous la forme de politiques, de Formatted: Pattern: Clear
réglementations, de conception et d'architecture. Dans certains contextes impliquant des
Formatted: Pattern: Clear
consommateurs, il est essentiel de protéger les données à caractère personnel et de donner aux mandants
Formatted: Pattern: Clear
le contrôle de l'utilisation de leurs données à caractère personnel. L'ISO/IEC 29100, l'ISO/IEC 29101,
Formatted: Pattern: Clear
l'ISO/IEC 29134 et l'ISO/IEC 29151 (à publier) spécifient des exigences et fournissent des
recommandations pour la protection de la vie privée. Formatted: Pattern: Clear
Formatted: Pattern: Clear
Les informations d'identité gérées par un système de gestion de l'identité peuvent également être gérées
Formatted: Pattern: Clear
par référence à des fournisseurs d'informations d'identité d'un autre domaine. Par exemple, la
Formatted: Pattern: Clear
vérification de l'identité peut être effectuée par un fournisseur de services, qui opère dans un domaine
différent de celui du système de gestion de l'identité. Formatted: Pattern: Clear
Formatted: Pattern: Clear
Lorsque des informations d'identité sont collectées et stockées, des mesures de gestion du risque doivent
Formatted: Pattern: Clear
être mises en œuvre par le service de gestion de l'identité afin d'atténuer les risques identifiés par une
appréciation du risque effectuée dans le domaine d'application par la partie utilisatrice. Les niveaux
d'assurance en ce qui concerne les informations d'identité et les services d'accès doivent être déterminés
et spécifiés par la partie utilisatrice en fonction des niveaux de risque évalués.
5.3 Assurance en matière d'informations d'identité
5.3.1 Généralités
La confiance dans les informations d'identité fournies par un système de gestion de l'identité découle de
processus qui garantissent la validité des informations depuis leur collecte jusqu'à leur stockage ultérieur
et leur maintenance par le système. L'assurance est généralement quantifiée en termes de niveaux
d'assurance, les niveaux les plus élevés correspondant à une plus grande assurance. Le niveau
d'assurance atteint dépend de la qualité des informations d'identité et de la rigueur des processus de
validation de l'identité. Les niveaux d'assurance sont décrits dans l'ISO/IEC 29115. Formatted: Pattern: Clear
Formatted: Pattern: Clear
5.3.2 Vérification de l'identité
La vérification de l'identité, c'est-à-dire la validation des informations d'identité pour l'inscription d'une
entité dans un domaine, doit satisfaire à un niveau d'assurance défini. Le niveau d'assurance de la
vérification d'identité atteignable dépend du type et des caractéristiques des informations et, dans
certains cas, de la portée de ces informations, par exemple le nombre de fournisseurs indépendants
d'informations d'identité utilisés comme sources des informations.
Un niveau accru d'assurance dans la vérification de l'identité peut être obtenu :
— par la vérification de justificatifs d'identité supplémentaires émanant de multiples sources ; et
Commented [eXtyles3]: Not found, but similar references
exist
— par le recours à une partie externe de confiance qui connaît l'entité pour valider les informations
d'identité déclarées.
ISO/IEC TS 29003, Technologies de l'information —
Techniques de sécurité — Vérification de l'identité
NOTE 1 L'ISO/IEC 29003 fournit les exigences applicables à la vérification de l'identité.
Formatted: Pattern: Clear
NOTE 2 L'ISO/IEC 29115 spécifie comment atteindre différents niveaux d'assurance.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Formatted: Pattern: Clear
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
5.3.3 Justificatifs d'identité
Un système de gestion de l'identité peut émettre plusieurs types de justificatifs d'identité qui diffèrent en
termes de niveau d'assurance des informations d'identité représentées par le justificatif d'identité.
Il convient qu'un système de gestion de l'identité qui émet des justificatifs d'identité avec un haut niveau
d'assurance soutenu par un mécanisme cryptographique fournisse un service permettant aux parties
utilisatrices de soutenir activement le processus de validation cryptographique.
5.3.4 Profil d'identité
Un système de gestion de l'identité peut utiliser un ou plusieurs profils d'identité pour recueillir,
structurer ou présenter les informations d'identité.
NOTE Bien qu'un profil puisse contenir des informations d'identité, il n'est pas destiné à l'identification. Sa
finalité est de fournir des informations d'identité sur une entité aux processus du système qui ont besoin de ces
informations pour leurs processus.
Une entité peut avoir plusieurs profils d'identité, chacun contenant un ensemble différent d'attributs
pour l'entité. Par exemple, une préférence linguistique peut être présente dans un profil destiné à une
interface d'accès et ne pas l'être dans un profil destiné à des intérêts en matière de lecture.
Un modèle d'identité peut être établi en tant que Norme internationale ou sectorielle. L'utilisation d'un
modèle d'identité normalisé pour enregistrer les attributs d'identité faciliterait l'utilisation des profils
d'identité dans différents domaines.
Un profil d'identité peut être utilisé dans la gestion de l'accès afin de déterminer les attributs d'identité
requis pour être autorisé à assumer un rôle ou à obtenir un privilège d'accès à des informations. Un profil
d'identité peut être utilisé comme un sous-ensemble préconfiguré d'informations d'identité à présenter
lors des interactions avec un service.
Un attribut d'un profil d'identité peut être associé à un niveau d'assurance. L'utilisation d'un profil
d'identité avec des niveaux d'assurance associés dans le but de présenter des informations d'identité doit
impliquer que chaque information a été validée au minimum à son niveau d'assurance associé. Un profil
d'identité spécifiant les exigences d'accès aux services ou aux ressources peut être associé à un
identificateur d'entité supplémentaire spécifique qui peut indiquer les activités liées aux privilèges
spécifiques.
6 Informations d'identité et identificateurs
6.1 Vue d'ensemble
Il convient que les organisations comprennent les enjeux en matière de sécurité de l'information pour
leur activité et pour la conformité à la législation pertinente et il convient qu'elles fournissent un soutien
en matière de gestion pour satisfaire aux besoins métier. En ce qui concerne la gestion de l'identité, il
convient que les organisations comprennent leurs responsabilités et s'assurent que des mesures de
sécurité adéquates sont mis en œuvre afin d'atténuer les risques et les conséquences d'une fuite, de la
corruption et de la perte de disponibilité des informations d'identité lors de la collecte, du stockage, de
l'utilisation, de la transmission et de l'élimination des informations d'identité. Il convient que les
organisations spécifient des objectifs de sécurité et des mesures de sécurité pour s'assurer que les
exigences en matière de sécurité des informations sont satisfaites.
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
6.2 Politique d'accès aux informations d'identité
Il convient que les informations d'identité relatives à une entité soient gérées afin de s'assurer que :
— les informations d'identité demeurent exactes et à jour au fil du temps ;
— seules les entités autorisées ont accès aux informations d'identité et sont responsables de toutes les
utilisations et modifications des informations d'identité, ce qui garantit la traçabilité de tout
traitement d'informations d'identité par toute entité, qu'il s'agisse d'une personne, d'un processus
ou d'un système ;
— l'organisation remplit ses obligations en matière de réglementation et d'accords contractuels ;
— les mandants sont protégés contre le risque de vol lié à l'identité et autre crime lié à l'identité.
NOTE En règle générale, une politique de sécurité de l'information souligne la nécessité de gérer les
informations d'identité de façon sécurisée. La préservation et la protection des informations d'identité de toute
entité sont également requises lors des transactions avec des tiers, tel que généralement documenté dans les
procédures opérationnelles.
6.3 Identificateurs
6.3.1 Généralités
Un identificateur permet de distinguer sans ambiguïté une entité d'une autre entité dans un domaine
d'applicabilité. Une entité peut avoir plusieurs identificateurs différents dans le même domaine. Cela peut
faciliter la représentation de l'entité dans certaines situations, par exemple en masquant l'identité de
l'entité lors de la fourniture d'informations d'identité de l'entité à utiliser dans certains processus ou dans
certains systèmes. Un identificateur créé dans un domaine peut être réutilisé intentionnellement dans un
autre domaine, à condition que l'identificateur réutilisé continue à assurer l'unicité de l'identité dans
l'autre domaine.
6.3.2 Catégorisation de l'identificateur par type d'entité à laquelle l'identificateur est lié
6.3.2.1 Identificateurs de personnes
Un identificateur de personne peut être, par exemple, un nom complet, une date de naissance, un lieu de
naissance, ou divers pseudonymes, tels qu'un numéro attribué par une autorité comme référence, par
exemple un numéro de passeport, un numéro d'identité nationale ou un numéro de carte d'identité.
L'utilisation de pseudonymes en tant qu'identificateurs est fréquente pour les identificateurs de
personnes ; voir 6.3.3.2. Formatted: Pattern: Clear
NOTE Un pseudonyme peut améliorer la protection de la vie privée des personnes dans un échange
d'authentification d'identité avec une partie utilisatrice, car un pseudonyme peut révéler moins de données à
caractère personnel que si un nom réel était utilisé comme identificateur.
6.3.2.2 Identificateur attribué à une entité non humaine
Les entités non humaines, par exemple les dispositifs ou autres objets d'information, peuvent voir leurs
activités identifiées et enregistrées comme pour les personnes.
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
Les identificateurs de dispositifs permettent de distinguer les dispositifs dans le domaine dans lequel ils
opèrent.
NOTE 1 Exemple : L'IMEI (International Mobile Equipment Identity) est un identificateur du téléphone portable
dans le domaine des services de téléphonie mobile GSM.
NOTE 2 Exemple 2 : Le numéro de carte SIM GSM (ICCID) est un identificateur unique de dispositif dans le
domaine d'un service de téléphonie mobile. Une carte SIM contient également d'autres identificateurs, y compris
celui de l'utilisateur qui a enregistré la carte SIM.
Il peut également être nécessaire de distinguer les identificateurs d'objets d'information dans leurs
domaines. L'un de leurs attributs ou une combinaison de leurs attributs est généralement utilisé(e)
comme identificateur.
NOTE 3 Exemple : Le nom de processus, le nom de session, le nom de chemin, les noms de ressource uniforme
(URN), l'identificateur de ressource uniforme (URI) sont des exemples d'identificateurs d'objets d'information.
NOTE 4 Exemple : L'URI est un exemple d'identificateur pour un emplacement, mais l'objet se trouvant à cet
emplacement peut changer à tout moment.
6.3.3 Catégorisation de l'identificateur à partir de la nature du lien
6.3.3.1 Identificateur vérinyme
Un identificateur vérinyme est un identificateur, persistant dans son domaine d'applicabilité, qui peut
être utilisé au sein du domaine et entre domaines, et qui permet à une partie utilisatrice d'obtenir des
informations d'identité supplémentaires pour l'entité associée à l'identificateur. Les identificateurs
vérinymes couramment rencontrés comprennent l'adresse de messagerie électronique, le numéro de
téléphone portable, le numéro de passeport, le numéro de permis de conduire, le numéro de sécurité
sociale et la paire nom-date de naissance.
Un identificateur vérinyme peut permettre la corrélation d'informations d'identité pour des entités
connues dans différents domaines. Bien qu'il soit tout à fait acceptable de corréler les identités si la
personne le souhaite, une corrélation inattendue, par exemple un profilage, a un impact négatif sur la vie
privée. De par la nature de l'identificateur vérinyme, si une fuite d'information se produit, cela permet
aux adversaires d'effectuer une telle corrélation et de créer des menaces, par exemple de générer toute
information liée à la vie privée que le mandant n'avait pas l'intention de divulguer.
6.3.3.2 Identificateur pseudonyme
Un identificateur pseudonyme est un identificateur, persistant dans son domaine, qui ne divulgue pas
d'informations d'identité supplémentaires. Tant qu'aucune autre information d'identification n'est pas
disponible dans le domaine, il n'est pas possible de corréler les identités d'un domaine différent à partir
d'un identificateur pseudonyme. Un identificateur pseudonyme peut être utilisé pour empêcher une
corrélation indésirable des informations d'identité des entités entre les domaines.
NOTE La simple utilisation d'identificateurs pseudonymes ne signifie pas que les données d'identité sont
pseudonymes. D'autres attributs combinés à un moment donné ou à plusieurs moments peuvent suffire pour
déduire des identificateurs vérinymes.
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
6.3.3.3 Identificateur éphémère
Un identificateur éphémère est un identificateur qui est utilisé uniquement pour une courte durée, et
uniquement au sein d'un domaine unique. Il peut changer pour plusieurs utilisations d'un même service
ou d'une même ressource.
NOTE 1 S'il est utilisé correctement, un identificateur éphémère rendra très difficile la corrélation de deux visites
par une entité.
NOTE 2 Un identificateur éphémère est souvent utilisé dans le contexte du contrôle d'accès basé sur des attributs
où l'accès à une ressource est accordé si l'entité dispose d'un attribut particulier. Par exemple, si l'accès aux
ressources est accordé pour une personne, car elle est membre d'un groupe donné, l'identité serait composée d'un
identificateur éphémère et d'un identificateur de groupe. Ces identificateurs serviraient aux fins du contrôle d'accès
tout en minimisant les données divulguées ou la possibilité d'établissement d'un lien entre plusieurs accès, tout en
permettant de distinguer chaque entité.
6.3.4 Catégorisation de l'identificateur à partir du regroupement des entités
6.3.4.1 Identificateur individuel
Un identificateur individuel est un identificateur qui est associé à une seule entité dans un domaine
d'applicabilité.
6.3.4.2 Identificateurs de groupe
Les entités sont parfois réunies au sein d'une entité de groupe lorsqu'il s'avère nécessaire d'exécuter les
activités en groupe. Une identité de groupe distincte représentera l'entité de groupe et les identificateurs
de groupe contribueront à identifier sans ambiguïté l'entité de groupe et à enregistrer les activités de
l'entité de groupe dans leur domaine. Les identificateurs de groupe répondent au besoin d'une entité
humaine d'effectuer des activités en groupe ou au nom d'un groupe ; ils peuvent masquer l'auteur d'une
activité au sein d'un groupe. Des techniques supplémentaires peuvent par conséquent être nécessaires
pour identifier sans ambiguïté une entité unique comme membre d'une entité de groupe.
6.3.5 Gestion des identificateurs
Lors de la mise à jour d'informations d'identité pour une entité connue, un système de gestion de
l'identité peut attribuer un nouvel identificateur à l'identité modifiée ; il peut également supprimer
l'association de l'ancien identificateur avec l'identité. Les informations d'identité modifiées peuvent être
communiquées de façon proactive aux sous-systèmes qui s'appuient sur elles.
7 Audit de l'utilisation des informations d'identité
La gestion et le traitement des informations d'identité par des entités autorisées dans un domaine
peuvent être soumis à diverses exigences métier légales, réglementaires et sectorielles qui nécessitent
un certain niveau de surveillance et de traçabilité.
NOTE Ces exigences peuvent être d'une grande variété, allant des fichiers journaux et autres mesures de
protection des données à caractère personnel, au maintien de l'exactitude et de la traçabilité requises des
horodatages ; voir l'ISO/IEC 18014.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Il convient qu'une entité qui fournit des services associés à la gestion de l'identité fournisse des
mécanismes garantissant l'aptitude à l'audit.
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
8 Objectifs de sécurité et mesures de sécurité
8.1 Généralités
L'Article 8 résume les objectifs de sécurité et les mesures de sécurité associées à vérifier lors de la mise Formatted: Pattern: Clear
en place ou de la revue d'un système de gestion de l'identité.
La structure des mesures de sécurité suit la structure présentée dans l'ISO/IEC 27002. Formatted: Pattern: Clear
Formatted: Pattern: Clear
8.2 Composants contextuels pour le contrôle
8.2.1 Établissement d'un système de gestion de l'identité
8.2.1.1 Objectif
Établir un système de gestion afin de lancer et de contrôler la mise en œuvre de la gestion des
informations d'identité pour les entités.
8.2.1.2 Définition et documentation du domaine d'applicabilité
Mesure de sécurité
Les parties utilisatrices pour lesquelles une entité, ou un groupe d'entités, est autorisé(e) à appliquer son
identité et qui peuvent utiliser l'identité pour l'identification et à d'autres fins doivent être documentées
afin d'être clairement comprises, à la fois par les opérateurs et par les entités concernées.
Recommandations de mise en œuvre
Il convient qu'une documentation décrivant les limites du domaine d'un système de gestion de l'identité
soit mise à la disposition de toutes les parties intéressées. Il convient que cette documentation spécifie
les limites où les informations d'identité peuvent être vérifiées. Il convient que toute extension potentielle
à d'autres domaines ou groupes d'entités soit également documentée.
Il convient que la documentation clarifie les contraintes, légales ou autres, ainsi que les responsabilités
associées, s'exerçant sur le contrôle des informations d'identité dans un domaine.
Autres informations
Un domaine d'une identité est bien défini par rapport à un ensemble particulier d'attributs définissant
des groupes d'entités.
Un système informatique au sein d'une organisation qui autorise un groupe d'entités à se connecter est
un sous-domaine de cette organisation.
8.2.1.3 Identification des fournisseurs d'informations d'identité (IIP), des autorités
gestionnaires des informations d'identité (IIA), des autorités gestionnaires d'identité et des
organismes réglementaires
Mesure de sécurité
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
Les autorités gestionnaires des informations d'identité pour les informations d'identité gérées par un
système de gestion de l'identité doivent être spécifiées pour le domaine d'un système de gestion de
l'identité.
Les entités qui assument des responsabilités de gestion et de réglementation pour la protection des
informations d'identité doivent également être identifiées.
Recommandations de mise en œuvre
Il convient d'identifier clairement les entités associées à un système de gestion de l'identité en tant que
source d'informations d'identité (IIP), la déclaration faisant autorité sur les informations disponibles
(IIA), l'autorité gestionnaire d'identité et tout organisme réglementaire pertinent, gouvernemental ou
autre.
Les opérations effectuées par un fournisseur d'informations d'identité sont la création, le maintien à jour
et la mise à disposition d'informations d'identité pour les entités connues dans un domaine donné. Il
convient que les méthodes permettant d'accéder aux informations ou d'obtenir des services fournis par
ces entités opérationnelles soient également fournies.
Il convient que toute modification en matière de disponibilité et de méthodes d'accès et d'obtention des
services soit communiquée de façon active aux parties intéressées.
Autres informations
Une entité peut combiner les fonctions de fournisseur d'informations d'identité et d'autorité gestionnaire
des informations d'identité.
8.2.1.4 Identification des parties utilisatrices (RP)
Mesure de sécurité
Les parties utilisatrices doivent être communiquées pour le domaine du système de gestion de l'identité.
Recommandations de mise en œuvre
Les parties utilisatrices ont des relations de confiance avec une ou plusieurs autorités gestionnaires des
informations d'identité. Les parties utilisatrices associées à une autorité gestionnaire des informations
d'identité peuvent être connues lors de la phase de conception. Les RP peuvent changer au fil du temps,
et rejoindre ou quitter une relation avec une ou plusieurs autorités gestionnaires des informations
d'identité du domaine.
Autres informations
Une partie utilisatrice est exposée au risque lié à des informations d'identité incorrectes ou invalides.
8.2.1.5 Maintenance d'un système de gestion de l'identité
Mesure de sécurité
Un processus doit être décrit afin de garantir la maintenance des entités opérationnelles importantes
d'un système de gestion de l'identité.
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
Recommandations de mise en œuvre
Au fil du temps, les domaines d'un système de gestion de l'identité peuvent utiliser différentes autorités
gestionnaires des informations d'identité, différents fournisseurs d'informations d'identité et différentes
parties utilisatrices pour soutenir leurs interactions avec les entités. Des domaines peuvent également
être créés et résiliés, ou leurs conditions d'applicabilité peuvent changer.
Les entités importantes destinées à être utilisées dans un système de gestion de l'identité, par exemple
l'IIA, l'IIP et la RP, peuvent également cesser d'exister après avoir été remplacées, archivées ou
supprimées. Il convient qu'un système de gestion de l'identité documente les politiques et processus qui
garantissent le contrôle de ces entités importantes, et qu'il s'assure qu'aucune information précieuse du
système de gestion de l'identité n'est perdue.
8.2.1.6 Garantie de protection de la vie privée
Mesure de sécurité
Lorsque des entités humaines interagissent au sein d'un système de gestion de l'identité qui gère des
informations d'identité les concernant, il doit y avoir des politiques documentées et des mesures de
sécurité établies qui garantissent la protection de leur vie privée.
Recommandations de mise en œuvre
Un objectif de base de l'établissement d'un système de gestion de l'identité est de garantir que la vie
privée des entités est respectée à tout moment.
Un système de gestion de l'identité doit documenter toute information sensible qu'il traite au sujet des
entités humaines afin de se conformer à l'ISO/IEC 24760-1. Formatted: Pattern: Clear
Formatted: Pattern: Clear
Autres informations
Formatted: Pattern: Clear
Les exigences relatives au traitement des informations d'identité sensibles sont données dans :
— l'ISO/IEC 29100 ; et
— l'ISO/IEC 29101.
8.2.2 Établissement des informations d'identité
8.2.2.1 Objectif
Définir, documenter et communiquer les informations d'identité.
8.2.2.2 Représentation des identités
Mesure de sécurité
Les références d'une entité dans un système de gestion de l'identité, qui restent les mêmes pendant toute
la durée pendant laquelle l'entité reste connue dans le(s) domaine(s) du système, peuvent être appelées
« identificateur de référence ». Le système de gestion de l'identité doit documenter des mesures de
sécurité pour les systèmes de gestion de l'identité afin de garantir la capacité à distinguer de façon unique
toute entité dans tout domaine du système de gestion de l'identité.
© ISO/IEC 2022 – Tous droits réservés
ISO/IEC 24760-3:2022(F)
Recommandations de mise en œuvre
Il convient qu'un identificateur de référence persiste au moins pendant l'existence de l'entité dans un
système de gestion de l'identité et il peut exister plus longtemps que l'entité, par exemple à des fins
d'archivage ou pour les besoins des autorités.
Il convient que la documentation du système de
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...